flash_player_9_security 学习
一 安全
沙盒类型(Security-Sandbox-Types)
Actionscript
给每个被打开的swf,赋上一个安全状态,叫做安全沙盒类型,安全沙盒类型分为四种,remote,local-with-
filesystem,local-with-networking和local-trusted。每种类型都定义了一个不同的规则集合来控制一个swf
外部操作能力。一个安全沙箱
可能禁止的外部操作包括:
- 本地内容
- 内容作为数据访问
- 交叉脚本控制
- 装载数据
- 连接一个套接字
- 发送数据到一个外部的URL
- 访问用户的的Carmera和MIC
- ShareObject
- 上传或下载由用户选择的文件
- 和装载swf的容器交互的能力
- 连接 LocalConnection
- actionscrpt代码可以通过 Security.sandboxType,来获得当前swf的安全沙盒类型。一个swf被赋上的安全状态,由一下几个因素决定:
- swf被打开的位置,本地或网络
- swf发布时的设置,flex
: -use-network = true|false , Flash authoring Tool: local file access| net access
- FlashPlayerTrust目录,是否指定它为可信任目录或文件。
swf 根据其打开的位置决定其安全沙盒类型是 remote 还是local中的一种,如果已有example.swf,在网络上打开如,www.ABC.com/example.swf
,
则Security.sandboxType被赋予 remote,若在本地打开,当swf 发布为 -use-network = true 或
net access 时,若如果没有 FlashPlayerTrust 指定则为
local-with-networking,如果有,则为local-trusted。 当发布为 -use-network = false或
local file access 若如果没有 FlashPlayerTrust
指定则为local-with-filesystem,如果有则为ocal-trusted。
安全沙箱对swf的操作限制,主要表现为,内容装载、内容作为数据访问、交叉脚本控制和数据装载。
内容装载,意味着取得外部资源,然后显示
它。actionscript
:Loader.load(),Sound.load(),NetStream.play()。
内容作为数据访问,读取资源的内部信息。actionscript:Loader实例变量的content访问图片
、BiamapData.draw()、SoundMixer.computeSpectrum、访问 Sound实例
变量的id3。
交叉脚本控制,actionscript:Loader实例变量的content取得被转载的swf、访问被装载的swf的变量、方法、类、BiamapData.draw()被装载的swf到BitamapData对象
。
数据装载,actionscript:UrlLoader.load() 文本、二进制、变量;URLString。Loaded()
remote沙盒
操作 本地范围 来自swf原始区域的远程资源 来自swf非原始区域的远程资源
内容装载 禁止 允许 允许
内容作为数据访问 禁止 允许 需要授权
交叉脚本控制 禁止 允许 需要授权
数据装载 禁止 允许 需要授权
local-with-filesystem沙盒
操作 本地范围的非swf资源 本地local-with-filesystem swf资源 本地local-with-networking资源 本地local-trusted swf资源 remote资源
内容装载 允许 允许 禁止 允许 禁止
内容作为数据访问 允许 n/a n/a n/a 禁止
交叉脚本控制 n/a 允许 禁止 需要授权 禁止
数据装载 允许 n/a
n/a n/a 禁止
local-with-networking沙盒
操作 本地范围的非swf资源 本地local-with-filesystem swf资源 本地local-with-networking资源 本地local-trusted swf资源 remote资源
内容装载 允许 禁止 允许 允许 允许
内容作为数据访问 禁止 n/a
n/a n/a 需要授权
交叉脚本控制 n/a 禁止 允许 需要授权 需要授权
数据装载 禁止 n/a
n/a n/a 需要授权
local-trusted沙盒
操作 本地范围的非swf资源 本地local-with-filesystem swf资源 本地local-with-networking资源 本地local-trusted swf资源 remote资源
内容装载 允许 允许 允许 允许 允许
内容作为数据访问 允许 n/a n/a n/a 允许
交叉脚本控制 n/a 允许 允许 允许 允许
数据装载 允许 n/a
n/a n/a 允许
二 权限控制
Flash Player 客户端运行时安全模型是围绕 swf 文件、本地数据和Internet
URL,等这些资源而设置成的模型,“资源持有者”stakeholders
是指拥有或使用这些资源的各方。资源持有者可以对自己的资源进行安全设置。各种资源持有者被分为四个类型。
Administrative user =》 User => Website Manager => Developer
管理用户控制,mms.cfg 和 设置 Flash Player 信任 目录。mms.cfg www.adobe.com/go/fp9_admin
。
用户控制,设置UI、设置用户Flashplayer 信任目录
web 站点控制,跨域策略文件 crossdomain.xml
开发人员控制,Security。allowDomain()
分享到:
相关推荐
SWFUpload v2包含了新的高级功能,改善了稳定性,解决了FlashPlayer中的一些bug,并且提供一套有用的插件。新的功能包括: 在文件上传的同时能够发送额外的POST数据(只针对Flash 9 版本) 针对每一个文件上传发送...
security脚本,在服务器的843端口给flash player提供安全策略文件
flash action script 经典字典教程大全,学flash必备 -- --(递减) ++ ++(递增) ! !(逻辑 NOT) != !=(不等于) !== !==(不全等) % %(模) %= %=(模赋值) & &(按位 AND 运算符) && ...
* The plugin requires Flash Player 9 or better and javascript. Please make sure you have both. * There have been some cases where WordPress' Automatic Plugin Upgrade feature breaks the plugin. After ...
可以设置Flash Player 的本地的安全性, 1. 可以设置文件夹 2. 可以设置盘符
Chapter 26: Flash Player security757 Flash Player security overview..758 Overview of permission controls.760 Security sandboxes.. 770 Restricting networking APIs..773 Full-screen mode security...775 ...
在Adobe Flash Player升级到9.0.124后,由于安全策略更改,原来Socket或XmlSocket的应用里的http方式加载安全策略的手段不能继续使用。更改如下: 1,首先检测目标服务器的843端口是否提供安全策略 2,如果1没有检测...
Flex跨域问题,对于Flash Player 而言,crossdomain.xml文件内容出现了较大的变化,原因是Flash Player 9的security机制有所改变。所以当我用Flex 3调用cross domain的web service时,还使用上面的crossdomain.xml...
常用软件检查更新(Patch My PC)保持您的电脑软件最新,检查您的系统Adobe Reader, Flash Player, Firefox, Java, 和 Quicktime当前版本。扫描过程完成后,发现可用的更新它会下载该软件的最新版本。在启动时会扫描...
This package contains 3 kid: 1. a book Developing Flex Applications 2. a web page viewer for doc88 ebt ... CONTENTS PART I: Presenting Flex CHAPTER 1: Introducing Flex....About Flex....
但是用flash就可以复制。例子就是VeryCd,看“复制选中的连接”按钮是一个...This is a security restriction by Adobe Flash Player. Unfortunately, since we are utilizing the JavaScript-to-Flash interface
1.4.2 Flash Player渲染模型 9 1.4.3 Flash中的事件机制 12 1.5 小结 20 第2章 Flex企业应用开发基础 21 2.1 MXML语言 21 2.1.1 用MXML表示ActionScript对象 22 2.1.2 查看由MXML文件所翻译的ActionScript代码...
evolved from a spunky multimedia player into a set of dynamic programming tools. It still offers far less than a modern programming environment like .NET. That’s where Silverlight fits into the ...
从5.0版本起,“Google Chrome”内置Adobe Flash Player以确保使用的为最新版本降低被攻击的风险。其后在9.0版本将Flash播放器内置在沙盒中独立运行。这项技术是Chrome安全性进步的一座里程碑。对Windows XP用户特别...
ASP.NET 2.0 Security FAQs Asp.net 2.0功能体验,细节之Web控件(一) 隐藏控件 Asp.net 2.0功能体验,总体设计思想 Asp.net 2.0 WebPart使用经验点滴 革新:.NET 2.0的自定义配置文件体系初探 关于如何在ASP.NET ...